パスワード流出から身を守るための7つのポイント

パスワードの流出と聞いても、一度も被害にあっていない人にはピンとこないかもしれませんが、オンラインサービスが充実してきた今、決して他人事ではありません。

しかも、国が公表している「パスワード流出原因」のうち、本人のミスに起因するものが50%を超えているのです。
平成23年度、平成24年度の資料をもとに集計してみましたので、ご覧ください。

流出原因グラフ

原因平成23年平成24年合計割合
利用者から聞き出し・のぞき見2922925833.38%
利用者の設定、管理の甘さ5912218123.42%
元従業員や知人5210115319.79%
スパイウェア129303.88%
共犯者3822607.76%
フィッシングサイト5918779.96%
購入0000.00%
流出したもの0000.00%
その他311141.81%

※参考資料
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000042.html

1位の「利用者からの聞き出しやのぞき見」と2位の「利用者の設定、管理の甘さ」はどちらも本人次第で防げるものなんです。

つまり、パスワードの管理意識を向上させることで、流出原因のうちの50%はつぶせると言うことになります。

そうはいっても何をしたら良いか分からない・・・

と思われる方がほとんどだと思いますので、ちょっとしたコツをリストアップしてみました。
以下に挙げた7つの対策ポイントを意識して、少しでもセキュリティを高めて頂きたいと思います。

対策1)パスワードは絶対に教えない

いくら親しい人だとしても、パスワードを教えてはいけません。
教えた人との関係が良好であれば、その人自身が悪意を持って利用することは無いでしょう。
しかし、その人との関係が何らかの理由で破綻し、悪化してしまったらどうでしょうか?

また、たとえその人との関係が悪化しなかったとしても、その人が「悪意を持った第三者」によって、パスワードを盗まれてしまう可能性もあります。

パスワードは、知っている人が少なければ少ないほど安全だという事を覚えておいてください。

対策2)第三者がいるところでパスワードを入力しない

パスワードを知る最も簡単な方法は、入力しているところをのぞき見る事です。
特に背後に誰かがいるときは注意してください。その人が画面を見ていなくても、安心してはいけません。

簡単なパスワードであれば、キーボードを見ているだけで読み取れてしまうからです。

対策3)同じパスワードを使わない

パスワードを覚えるのが面倒だからといって、パスワードを統一してはいけません。
オンラインサービスが充実してきた今、全部違うパスワードにするというのは無理があるでしょう。

しかし、一つのパスワードのみで全てのサービスを利用していると、流出などの事故があった際に全部のパスワードを変更しなくてはいけなくなります。

銀行やクレジットカードなど、漏れた際のリスクが高いものは、可能な限り別々にしましょう。

対策4)日付だけで構成しない

生年月日や記念日などの日付をパスワードにしてはいけません。特に4桁数値は最悪です。
なぜなら、4桁数値を自由に配置した場合、10の4乗で1万通りあるのですが、日付に限定すると365通りになってしまうからです。
また、生年月日は第三者が簡単に調べられるという点でもリスクが高いです。

じゃあ何故銀行の暗証番号が4桁なのか?

銀行の暗証番号はネット上のパスワードと違って、店舗で入力することが大前提です。
また、3回ミスるとロックがかかってしまい、ロックを解除するための手続きを踏まないと本人でも現金を引き出すことができません。
つまり、全てのパターンを試す事が難しいため、4桁でもそれなりのセキュリティを保っていけるのです。

銀行の提供しているオンラインバンクが4桁の暗証番号だけで利用できないのは
「店舗での入力」という物理的なセキュリティを確保することができないためです。

ちなみに、個人的には銀行の暗証番号はとても危険だと思っています。
近年では、大体どこの銀行も静脈認証などの生体認証に対応しているので、
暗証番号のみで利用している方は早めに切り替えることをオススメします。

対策5)文字の種類と桁数を増やす

パスワードを構成する文字の種類と桁数は多ければ多いほど良いです。
大文字、小文字、数値、記号の4種類を含めて構成するようにしましょう。
桁数については最低でも8桁、可能であれば16桁以上にすると良いです。

対策6)本人しか知らないルールを盛り込む

造語を使ったり、アルファベットのつづりをわざと間違えるなど、
本人しか知り得ないルールを盛り込んでパスワードを生成すると良いです。

理由は簡単で、造語やつづりのミスは辞書に載っていないからです。
パスワードを盗もうとする人は、辞書に乗っている単語を全て試したりするので
辞書に載っていない単語を採用することで、安全性が劇的に向上するのです。

対策7)定期的に変更する

パスワードは、使っている期間が長ければ長いほど漏洩する危険度が増していきます。
パソコンを使って解析すると、時間さえかければいつかは特定できてしまうからです。

かなり面倒だとは思いますが、漏洩したときにリスクの高いパスワードは1年に1回でもいいので変更する事をオススメします。

まとめ

パスワードのつけ方に関するおさらいをして、このルールで生成したパスワードの強度をチェックしてみましょう。

・16桁以上にする
・大文字、小文字、数値、記号で構成する
・造語やつづりをわざとミスるような独自ルールを盛り込む

以下のサイトは、入力したパスワードの強度をチェックしてくれます。
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

「強い」以上のパスワードになったと思いますが、いかがでしょうか?

何度か繰り返せば「とても強い」パスワードが作れると思いますので、ぜひこの機会にセキュリティ意識を改善してみてください。

おまけ

次のサイトは解析するまでにどれくらい時間がかかるかも表示してくれます。

http://howsecureismypassword.net/

試しに4桁数値を入れてみましょう。
4桁数値が最悪だと述べた理由がお分かり頂けると思います。